個人信息保護(hù)在民法中的表達(dá)
——兼論民法與個人信息保護(hù)法之關(guān)系

王 苑

自然人作為個人信息的主體，自然人的姓名、肖像等個人信息與其人格須臾不可分離。因此，有學(xué)者認(rèn)為，個人信息作為人的延伸，應(yīng)當(dāng)由主體所掌控，體現(xiàn)個人意志?！?〕參見高富平：《個人信息保護(hù)：從個人控制到社會控制》，載《法學(xué)研究》2018 年第3 期，第88 頁。自羅馬法以降，民法就保護(hù)個人信息上的人格利益（如羅馬私法上侵辱之債，〔2〕參見［德］馬克斯·卡澤爾、羅爾夫·克努特爾：《羅馬私法》，田士永譯，法律出版社2018 年版，第549 頁。對自然人的名譽(yù)的保護(hù)）。傳統(tǒng)民法“從法律技術(shù)上將人格分割成一個個要素，擇其主要者予以維護(hù)”，〔3〕參見黃立：《民法總則》，1994 年10 月臺灣初版，自行發(fā)行，第94 頁；轉(zhuǎn)引自龍衛(wèi)球：《論自然人人格權(quán)及其當(dāng)代進(jìn)路——兼論憲法秩序與民法實證主義》，載《清華法學(xué)》2002 年第2 輯，清華大學(xué)出版社2003 年版，第131 頁。其保護(hù)路徑層次非常清晰：首先，對肖像、姓名等邊界清晰的人格利益，通過肖像權(quán)、姓名權(quán)等具體人格權(quán)予以保護(hù)；其次，對在歷史沉淀中已經(jīng)類型化形成了規(guī)范群的隱私利益，提煉出隱私權(quán)作為一項具體人格權(quán)保護(hù)；〔4〕參見方新軍：《一項權(quán)利如何成為可能？——以隱私權(quán)的演進(jìn)為中心》，載《法學(xué)評論》2017 年第6 期，第118 頁。最后，邊界不明的其他人格利益，則置于一般人格權(quán)這項框架權(quán)利下。以上為個人信息在民法中表達(dá)的第一個層面。本文主要關(guān)切的為第二個層面，即信息時代個人信息如何保護(hù)？

一、作為一項基本權(quán)利的個人信息保護(hù)權(quán)

個人信息成為基本權(quán)利的客體，主要源于信息技術(shù)應(yīng)用對個人權(quán)益保護(hù)的挑戰(zhàn)。20 世紀(jì)60 年代以后，隨著計算機(jī)技術(shù)的不斷發(fā)展，信息的大量收集、存儲和利用成為可能，使個人權(quán)益受到侵害的可能性增大，傳統(tǒng)意義上具有消極、被動特點的人格權(quán)很難適應(yīng)社會發(fā)展的需要。〔5〕參見周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第48 頁。個人信息侵權(quán)逐漸表現(xiàn)為三個方面的新特征。首先，侵權(quán)人主要為組織體，自然人作為侵權(quán)人的案件甚至可以忽略不計?！?〕參見張新寶：《〈民法總則〉個人信息保護(hù)條文研究》，載《中外法學(xué)》2019 年第1 期，第72 頁。其次，侵害手段多樣化，且侵害結(jié)果具有隱蔽性和持續(xù)性。長期、自動、大規(guī)模收集、處理個人信息的手段被組織體使用，其收集和處理行為不易察覺，比如“智能音箱記錄家庭對話”“大數(shù)據(jù)殺熟”等。最后，侵害事件具有高發(fā)性和高風(fēng)險性。比如傳播他人隱私的行為，在普通個人信息使用關(guān)系中，其傳播范圍窄，且具有偶發(fā)性，發(fā)生侵權(quán)的風(fēng)險遠(yuǎn)低于信息處理關(guān)系。而在信息時代，個人信息被泄露甚至買賣，大范圍低成本傳播，風(fēng)險極大。

美國學(xué)者們認(rèn)識到普通法侵權(quán)救濟(jì)已經(jīng)不足以應(yīng)對日新月異的技術(shù)發(fā)展，為了平衡個人及信息控制組織之間的關(guān)系，以威斯丁（Westin）、米勒（Miller）等為代表的學(xué)者提出了信息隱私概念，將個人信息的保護(hù)納入了美國隱私權(quán)之下，認(rèn)為個人“有能力控制信息的流通”〔7〕Arthur R. Miller, The Assault on Privacy, University of Michigan Press, 1971, p.248.或是“個人、群體或組織決定自身信息何時、如何及何種程度與他人進(jìn)行交流。”〔8〕Alan F. Westin, Privacy and Freedom, Atheneum, 1967, p.7.主流觀點認(rèn)為1977 年華倫訴羅伊案確認(rèn)了信息隱私在美國是一項憲法權(quán)利。〔9〕Whalen v. Roe, 429 U.S. 589 （1977）.同時，政策制定者開始通過部門立法尋求新的個人信息保護(hù)路徑，迎來了20 世紀(jì)70 年代的聯(lián)邦立法潮。〔10〕See Colin J. Bennett, Regulating Privacy: Data Protection and Public Policy in Europe and the United States, Cornell University Press, 1992, pp.68-74.歐洲為應(yīng)對技術(shù)發(fā)展的挑戰(zhàn)采取了更為強(qiáng)力的舉措，歐洲人權(quán)法院解釋《歐洲人權(quán)公約》（ECHR）第8 條第1 款時認(rèn)為該條包含了“使用個人數(shù)據(jù)對個人進(jìn)行不可預(yù)測的分析可能對言論自由、隱私權(quán)和身份權(quán)（the right to privacy and identity），以及個人自決造成的影響”?！?1〕Nora Ni Loideain, “Surveillance of Communications Data and Article 8 of the European Convention on Human Rights”, in Serge Gutwirth, Ronald Leenes & Paul De Hert eds., Reloading Data Protection, Springer, 2014, p.183.并在1981 年通過了國際上第一個數(shù)據(jù)保護(hù)公約——歐洲委員會《個人數(shù)據(jù)自動處理中的個人保護(hù)公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data）。2007 年《歐盟基本權(quán)利憲章》（Charter of Fundamental Rights of the European Union，以下簡稱“歐盟憲章”）更是宣布數(shù)據(jù)保護(hù)為一項獨立于隱私權(quán)的基本權(quán)利?！?2〕See Woodrow Hartzog & Neil Richards, “Privacy’s Constitutional Moment and the Limits of Data Protection”, 61 Boston College Law Review 46 （2020）.美國法語境下對隱私權(quán)限縮（剔除墮胎等對個人身體的自決等）的信息隱私概念，與歐盟的個人數(shù)據(jù)保護(hù)概念殊途同歸。雖然歐美對隱私或個人數(shù)據(jù)保護(hù)路徑不同〔13〕關(guān)于歐美從隱私到個人信息的歷史沿革，有學(xué)者指出歐美最初隱私都是私法上的概念，通過侵權(quán)法予以保護(hù)，但是隨著隱私（個人信息）的重要性加強(qiáng)，殊途同歸，無論是美國還是歐洲，“隱私”（或個人信息）概念都已經(jīng)突破了私人救濟(jì)的范疇，由公、私法合力規(guī)范，但歐美均未拋棄私法層面對隱私（個人信息）的保護(hù)。參見丁曉東：《個人信息私法保護(hù)的困境與出路》，載《法學(xué)研究》2018 年第6 期，第200-203 頁。，但是個人信息保護(hù)作為人權(quán)或基本權(quán)利保護(hù)幾乎已成為一項共識?！?4〕“國際組織和各個國家均是在人權(quán)或基本權(quán)利保護(hù)的角度來規(guī)范個人數(shù)據(jù)處理行為以保護(hù)個人權(quán)益的?！眳⒁姼吒黄街骶帲骸秱€人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢》，法律出版社2016 年版，第3 頁。See also Edward J. Bloustein, “Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser”, 39 N.Y.U. L. Rev. 962 （1964）. 參見丁曉東：《個人信息的雙重屬性與行為主義規(guī)制》，載《法學(xué)家》2020 年第1 期，第65 頁；孫平：《系統(tǒng)構(gòu)筑個人信息保護(hù)立法的基本權(quán)利模式》，載《法學(xué)》2016 年第4 期，第67 頁。

個人信息保護(hù)是一個地道的舶來品，是歐美社會人權(quán)制度發(fā)展的產(chǎn)物，也是技術(shù)發(fā)展的附加品?！?5〕參見高富平、王苑：《論個人數(shù)據(jù)保護(hù)制度的源流——域外立法的歷史分析和啟示》，載《河南社會科學(xué)》2019 年第11 期，第38 頁。我國憲法雖然沒有如歐盟憲章規(guī)定數(shù)據(jù)保護(hù)權(quán)，但是個人信息受保護(hù)的基本理念實際上也可以從我國《憲法》中找到依據(jù)〔16〕參見姚岳絨：《憲法視野中的個人信息保護(hù)問題》，法律出版社2012 年版，第117 頁。。1982 年憲法修訂時增加了“公民的人格尊嚴(yán)和榮譽(yù)不受侵犯，禁止用任何方法手段對公民進(jìn)行侮辱、誹謗或者誣陷”的條款，2004 年“國家尊重和保護(hù)人權(quán)”更是被寫入憲法。我國《憲法》第38 條、39 條、第40 條、第41 條、第47 條、第51 條和2004 年《憲法修正案》第24 條，均可以作為憲法保護(hù)的間接依據(jù)?！?7〕參見周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第51 頁。正如周漢華教授所言，“個人資料的收集、處理或利用直接關(guān)系到個人資料本人的人格尊嚴(yán)，個人資料所體現(xiàn)的利益是公民的人格尊嚴(yán)的一部分，因此是一種人格權(quán)利”。〔18〕周漢華：《行政法學(xué)的新發(fā)展》，中國社會科學(xué)出版社2013 年版，第258、259 頁；齊愛民：《論個人資料》，載《法學(xué)》2003 年第8 期，第80 頁。根據(jù)尹田教授的觀點，人格權(quán)一開始并非是民法權(quán)利意義上的，而是憲法權(quán)利意義上的，是憲法賦予一切人的基本權(quán)利。參見尹田：《論人格權(quán)的本質(zhì)——兼評我國民法草案關(guān)于人格權(quán)的規(guī)定》，載《法學(xué)研究》2003 年第4 期，第10 頁。在其擬定的專家建議稿中，第1 條即開章明義，“為規(guī)范政府機(jī)關(guān)或其他個人信息處理者對個人信息的處理，保護(hù)個人權(quán)利，促進(jìn)個人信息的有序流動，根據(jù)憲法制定本法”?！?9〕周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第1 頁。

有學(xué)者分析基本權(quán)利模式保障個人信息應(yīng)當(dāng)作為我國的借鑒對象，原因在于：從現(xiàn)實角度考慮，數(shù)據(jù)化時代的個人信息保護(hù)有急迫性，因為技術(shù)的發(fā)展正在加大對自由、尊嚴(yán)等價值侵害的風(fēng)險?！?0〕參見涂子沛：《大數(shù)據(jù)：正在到來的數(shù)據(jù)革命，以及它如何改變政府、商業(yè)與我們的生活》，廣西師范大學(xué)出版社2015 年版，第5 頁。從理論角度出發(fā)，只有在基本權(quán)利層面確立了個人信息受保護(hù)的價值，其他部門法對個人信息保護(hù)的規(guī)范才有根本性的法律依據(jù)和上位法的支撐〔21〕參見周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第48-51 頁；孫平：《系統(tǒng)構(gòu)筑個人信息保護(hù)立法的基本權(quán)利模式》，載《法學(xué)》2016 年第4 期，第67-70 頁。。同時，確立個人信息保護(hù)權(quán)的基本權(quán)利屬性，厘清其與其他基本權(quán)利的關(guān)系，也更有利于實現(xiàn)其他基本權(quán)利（如言論自由、知情權(quán)等）?！?2〕參見孫平：《系統(tǒng)構(gòu)筑個人信息保護(hù)立法的基本權(quán)利模式》，載《法學(xué)》2016 年第4 期，第70 頁。

二、獨立于普通個人信息使用關(guān)系的信息處理關(guān)系

依據(jù)《里斯本條約》（TFEU）〔23〕《里斯本條約》又稱《歐盟運(yùn)行條約》（Treaty on the Functioning of the European Union （TFEU）），條約于2009 年12 月生效。第16 條第1 款明確“每個人有關(guān)于他們的個人數(shù)據(jù)受保護(hù)權(quán)”；第2 款明確：“歐盟議會和理事會應(yīng)依據(jù)普通立法程序制定有關(guān)個人數(shù)據(jù)處理中個人保護(hù)的規(guī)則，調(diào)整歐盟機(jī)關(guān)、團(tuán)體、辦公室和機(jī)構(gòu)，以及成員國在從事歐盟法律范圍內(nèi)的活動時的數(shù)據(jù)處理行為，調(diào)整關(guān)于個人數(shù)據(jù)自由流動的規(guī)則。這些規(guī)則的執(zhí)行將由獨立的機(jī)構(gòu)負(fù)責(zé)?！敝幸?guī)范基本權(quán)利的要求，〔24〕See Stig Str?mholm, “Right of Privacy and Rights of the Personality: A Comparative Survey”, https://www.icj.org/wp-content/uploads/1967/06/right-to-privacy-working-paper-publication-1967-eng.pdf, accessed February 16, 2020.歐盟議會制定了《統(tǒng)一數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”），該法已經(jīng)成了國際上數(shù)據(jù)保護(hù)領(lǐng)域立法的標(biāo)桿。有學(xué)者指出，個人信息立法規(guī)制的重點與其說是個人信息，倒不如說是“個人信息處理活動”?！?5〕參見周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第29 頁。筆者深以為然。個人信息保護(hù)法主要規(guī)范的是個人信息處理行為，其中核心是對個性識別分析和分析結(jié)果的應(yīng)用。所以，“個人信息保護(hù)法”還可以有一個更為恰當(dāng)?shù)拿帧皞€人信息處理行為規(guī)制法”。

（一）信息處理行為作為個人信息保護(hù)法的核心

從個人信息保護(hù)法的發(fā)展源流來看，個人信息保護(hù)法制定之初，其主要立法宗旨就是要解決計算機(jī)處理個人信息所帶來的巨大風(fēng)險問題，處理好技術(shù)進(jìn)步與個人權(quán)利保護(hù)之間的關(guān)系?！?6〕See Otto Mallmann,“ Computer and Civil Liberties: The Situation in the Federal Republic of Germany”, in United States Senate Committee on Government Operations, Privacy and Protection of Personal Information in Europe, United States Government Printing Office, 1975, pp. 90-91.早期的很多立法文件和法律，都帶上了“計算機(jī)處理”和“自動處理”的界定?！?7〕參見周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第56 頁。比如，1973 年美國“正當(dāng)信息通則”，僅適用于自動化個人信息系統(tǒng)。〔28〕參見高富平主編：《個人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢》，法律出版社2016 年版，第306 頁。該報告的意見成了1974 年《隱私法》的基礎(chǔ)。而歐洲委員會《個人數(shù)據(jù)自動化處理中的個人保護(hù)公約》最初僅限于自動化處理，隨后才逐漸拓展到一般化的個人數(shù)據(jù)處理。有學(xué)者將20 世紀(jì)70 年代時期形成的立法稱為“第一代數(shù)據(jù)保護(hù)規(guī)范”，該時期的立法以一種功能主義的眼光看待數(shù)據(jù)處理問題，如果處理問題本身便是問題所在，那么立法就應(yīng)當(dāng)瞄準(zhǔn)計算機(jī)的運(yùn)作?！?9〕See Viktor Mayer-Sch?nberger, “Generational development of data protection in Europe”, in Philip E. Agre & Marc Rotenberg, eds., Technology and Privacy: the New Landscape, The MIT Press, 1997.可見，個人信息保護(hù)是因規(guī)范自動化個人信息處理技術(shù)對個人人格的威脅而生，個人信息保護(hù)法規(guī)制的核心是信息處理行為。〔30〕參見周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第30 頁。

我國正在制定個人信息保護(hù)法，通過檢索個人信息保護(hù)國際立法不難發(fā)現(xiàn)，即便發(fā)展至今，個人信息保護(hù)法所調(diào)整的，也依然是信息處理行為?！?1〕比如以歐盟GDPR 為代表的數(shù)據(jù)保護(hù)法主要關(guān)注數(shù)據(jù)處理行為機(jī)制。See Sandra Wachter, Brent Mittelstadt, “A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Date and AI”, 2019 （2） Columbia Business Law Review 515 （2019）.GDPR 第2 條明確指出，其調(diào)整的是“全部或部分通過自動化手段進(jìn)行的個人數(shù)據(jù)處理行為，以及通過自動化手段以外的其他方式進(jìn)行的、構(gòu)成或旨在構(gòu)成存檔系統(tǒng)一部分的數(shù)據(jù)處理行為”。同樣，德國2017 年《聯(lián)邦數(shù)據(jù)保護(hù)法》第1 條第2 款第3 節(jié)中也明確了法律適用范圍，“私營機(jī)構(gòu)通過數(shù)據(jù)處理系統(tǒng)處理、使用或為了此類系統(tǒng)收集個人數(shù)據(jù)，或者在非自動存檔系統(tǒng)中處理、使用或為了此類系統(tǒng)收集個人數(shù)據(jù)的，適用該法”。

信息處理行為是指“全部或部分通過自動化手段進(jìn)行的，以及通過自動化手段以外的其他方式進(jìn)行的、構(gòu)成或旨在構(gòu)成存檔系統(tǒng)一部分”的行為?！?2〕歐盟《統(tǒng)一數(shù)據(jù)保護(hù)條例》第4 條第2 款。而“構(gòu)成存檔系統(tǒng)”，則僅指“可按照特定標(biāo)準(zhǔn)訪問的結(jié)構(gòu)化的個人數(shù)據(jù)集合”?！?3〕高富平主編：《個人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢》，法律出版社2016 年版，第145 頁。這種處理行為，相比普通個人信息使用行為，是高風(fēng)險的?！?4〕2013 年OECD 修訂1980 指南的時候明確提出“實施風(fēng)險進(jìn)路”（risk-based approach）。在進(jìn)行GDPR 的立法討論過程中，第29 條工作組也堅持要以風(fēng)險進(jìn)路指導(dǎo)立法。See Article 29 Data Protection Working Party, Statement on the role of a risk-based approach in data protection legal frameworks, 14/EN, WP218 （2014）, p.2.甚至有學(xué)者犀利地指出，信息處理會導(dǎo)致一種無力和無助的狀態(tài)，人們?nèi)狈Ρ匾臋?quán)利和方式有效地參與到個人信息收集、使用和傳播過程中?！?5〕參見孔令杰：《個人資料隱私的法律保護(hù)》，武漢大學(xué)出版社2009 年版，第44 頁。而個人同機(jī)構(gòu)之間在信息流通過程中的力量不均是其在信息處理上的具體表現(xiàn)。

自2017 年《民法總則》生效以來，個人信息民事侵權(quán)案件的數(shù)量與刑事案件相比極其有限，〔36〕參見張新寶：《〈民法總則〉個人信息保護(hù)條文研究》，載《中外法學(xué)》2019 年第1 期，第72 頁。這與個人信息保護(hù)有關(guān)的民事侵權(quán)存在維權(quán)成本高、因果關(guān)系證明困難、賠償數(shù)額低等原因有關(guān)。當(dāng)然，《民法典》生效時間較短，個人信息保護(hù)法還在立法進(jìn)程中，權(quán)利主體的權(quán)益不清晰，義務(wù)主體的義務(wù)規(guī)范不明確也是原因。但究其本質(zhì)，恐怕還是因為個人與信息處理者控制和參與個人信息流轉(zhuǎn)的力量懸殊?！?7〕參見孔令杰：《個人資料保護(hù)的力量和利益平衡論》，載《理論月刊》2010 年第2 期，第124 頁。原、被告之間的“能力天平”過于傾斜，侵權(quán)行為極其隱蔽，當(dāng)事人對侵權(quán)并不知情。以微信為例，2019 年其活躍用戶已經(jīng)達(dá)到11.12 億戶〔38〕《微信月活躍賬戶數(shù)達(dá)11.12 億，同比增長6.9%》，來源：https://tech.qq.com/a/20190515/007600.htm，2019 年11 月7 日訪問。，信息主體對騰訊的運(yùn)營算法及收集方式都知之甚少，更談不上有效監(jiān)督，相反，作為信息控制者和處理者的騰訊有技術(shù)上和數(shù)據(jù)體量上無可比擬的優(yōu)勢，完全有能力實時監(jiān)控?！?9〕參見吳泓：《信賴?yán)砟钕碌膫€人信息使用與保護(hù)》，載《華東政法大學(xué)學(xué)報》2018 年第1 期，第34 頁?？梢?，只有涉及利用信息能力的不平等收集、處理個人信息的行為，才是信息時代保護(hù)個人信息的法律真正要調(diào)整的。自然人在純粹私人之間或家庭活動過程中涉及個人信息的行為，〔40〕參見高富平主編：《個人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢》，法律出版社2016 年版，第219 頁。德國《聯(lián)邦數(shù)據(jù)保護(hù)法》也明確了“但僅為了個人或家庭活動而收集、處理或使用個人數(shù)據(jù)的除外?！贝送猓趥€人信息保護(hù)法專家建議稿（周漢華版）中，總則部分排除了對公民在純粹的個人或家庭活動中所進(jìn)行的個人信息處理，以及法人或其他組織數(shù)量較少、且不太可能對個人權(quán)利造成侵害的個人信息處理活動。參見周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第59 頁。不存在信息能力的顯著不平等，顯然只是普通個人信息使用行為。

（二）信息能力不平等是信息處理法律關(guān)系的本質(zhì)屬性

為了和普通個人信息使用關(guān)系作出區(qū)分，建立在信息處理行為基礎(chǔ)上的個人信息保護(hù)法所調(diào)整的法律關(guān)系，筆者稱為“信息處理法律關(guān)系”（需要說明的是，此處的處理是抽象處理概念，包括處理的整個生命周期，以下簡稱“信息處理關(guān)系”）。普通個人信息使用關(guān)系和信息處理關(guān)系的最大區(qū)別，在于前者調(diào)整信息能力平等的主體之間的關(guān)系，而后者調(diào)整的是信息能力不平等（也有學(xué)者認(rèn)為是信息不對稱〔41〕參見吳泓：《信賴?yán)砟钕碌膫€人信息使用與保護(hù)》，載《華東政法大學(xué)學(xué)報》2018 年第1 期，第29 頁。、或持續(xù)性的信息不平等〔42〕參見丁曉東：《個人信息權(quán)利的反思與重塑——論個人信息保護(hù)的適用前提與法益基礎(chǔ)》，載《中外法學(xué)》2020 年第2 期，第339 頁。）的主體之間的關(guān)系。

個人信息上的利益依賴特定的社會關(guān)系而產(chǎn)生，不同的社會關(guān)系中會有不同的個人信息利益，即使相同的信息在不同的社會關(guān)系中的利益也會有巨大差別。個人信息利益并非一個穩(wěn)定和靜態(tài)的法益，而是隨著社會關(guān)系而動態(tài)變化的法益。在普通個人信息使用關(guān)系中，平等有序的社會關(guān)系決定了個人對其個人信息并沒有控制權(quán)，只有侵權(quán)人利用個人信息侵害法益的時候才可以訴諸于救濟(jì)，通過人格權(quán)和侵權(quán)責(zé)任制度來保障隱私利益和個人信息上其他人格利益，也即賦予主體一種消極的防御性權(quán)利來維護(hù)自主；〔43〕參見程嘯：《民法典編纂視野下的個人信息保護(hù)》，載《中國法學(xué)》2019 年第4 期，第37 頁；丁曉東：《個人信息的雙重屬性與行為主義規(guī)制》，載《法學(xué)家》2020 年第1 期，第65 頁。而在信息時代的信息處理關(guān)系中，信息處理行為本身就可能導(dǎo)致人格遭受不必要的侵害，無論信息處理者是否主觀上有侵害人格的故意，其處理信息的行為就可能給信息主體帶來擔(dān)憂，因此需要賦予信息主體額外的利益?；诖?，個人信息保護(hù)法的本質(zhì)彰明較著——非為保障個人信息作為一種個人自主決定的處分對象，而是在于對收集使用個人信息進(jìn)行分析以形成與個人有關(guān)的各種畫像的權(quán)力的活動，進(jìn)行必要的制衡，以盡可能避免權(quán)力通過對個人畫像，對個人的人格形塑造成負(fù)面的影響。〔44〕參見邱文聰：《從資訊自決與資訊隱私的概念區(qū)分——評“電腦處理個人資料保護(hù)法修正草案”的結(jié)構(gòu)性問題》，載《月旦法學(xué)雜志》2009 年第5 期，第177 頁。

三、信息處理關(guān)系中的自主利益之民法保護(hù)

個人信息保護(hù)法是對主體權(quán)益的積極保護(hù)，是對處于弱勢的信息主體給予一定的傾斜，賦予主體防御性的隱私利益等以外的新的利益來平衡、糾正或反對這種信息能力的偏差。〔45〕在某些特定的私法關(guān)系中，存在典型方式的事實不平等狀況，于此應(yīng)使負(fù)有基本權(quán)保護(hù)義務(wù)的立法者，以及因“社會國原則”而負(fù)有義務(wù)的立法者制定規(guī)則來保障弱勢地位者的基本權(quán)。參見周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第87 頁。因此，識別出在信息處理關(guān)系中究竟還存在何種利益，而這種利益民法又應(yīng)當(dāng)如何予以救濟(jì)是本文研究的焦點。

在信息處理關(guān)系中，因信息能力的不平等，許多學(xué)者認(rèn)為必須賦予個體一種個人信息自決權(quán)（或個人信息權(quán)）來保護(hù)其利益，并且這種權(quán)利具有支配性特征，其義務(wù)主體負(fù)有相應(yīng)的作為和不作為。〔46〕參見張新寶：《〈民法總則〉個人信息保護(hù)條文研究》，載《中外法學(xué)》2019 年第1 期，第54 頁。信息自決權(quán)來源于德國聯(lián)邦憲法法院在“人口普查案”〔47〕1983 年，德國政府決定對其居民進(jìn)行一項普查，該計劃準(zhǔn)備通過計算機(jī)自動化處理系統(tǒng)收集處理公民的詳細(xì)的個人信息，引發(fā)了大規(guī)模的抵制和反對。See Spiros Simitis, “Privacy-An Endless Debate”, 98 Calif. L. Rev. 1989, 1997（2010）.中的解釋，是“自我決定權(quán)”的一種特殊形態(tài)，自我決定的對象是與個人相關(guān)的信息。〔48〕參見邱文聰：《從資訊自決與資訊隱私的概念區(qū)分——評“電腦處理個人資料保護(hù)法修正草案”的結(jié)構(gòu)性問題》，載《月旦法學(xué)雜志》2009 年第5 期，第174 頁；［德］萊茵哈德·蓋爾：《德國民法和憲法對人格的保護(hù)》，載謝立斌、仁愷主編：《權(quán)利救濟(jì)與人格權(quán)的憲法保障——中德比較》，中國政法大學(xué)出版社2018 年版，第164 頁。有學(xué)者認(rèn)為個人信息權(quán)是指自然人依法對其本人的個人身份信息所享有的支配并排除他人侵害的人格權(quán)，除了被動防御之外，還是一種積極的控制權(quán)。〔49〕參見楊立新：《個人信息：法益抑或民事權(quán)利——對〈民法總則〉第111 條規(guī)定的“個人信息”之解讀》，載《法學(xué)論壇》2018年第1 期，第41 頁。甚至有學(xué)者提出，“現(xiàn)在的隱私權(quán)法律體系已經(jīng)變動為以個人信息自決權(quán)為中心的法律關(guān)系?！薄?0〕王澤鑒：《人格權(quán)的具體化及其保護(hù)范圍·隱私權(quán)篇》（中），載《比較法研究》2009 年第1 期，第10 頁。但是將個人信息自決權(quán)認(rèn)定為是一種支配性的人格權(quán)，是對這一理論的誤讀?！?1〕雖然信息自決確立了個人在民主社會的中心地位，但是并未授予個人無限的決定權(quán)。大多數(shù)數(shù)據(jù)保護(hù)法都將個人同意或明示的法律規(guī)范作為信息處理的合法基礎(chǔ)之一。See Spiros Simitis, “Privacy-An Endless Debate”, 98 Calif. L. Rev. 1989, 1998 （2010）.

（一）個人信息自決權(quán)：憲法權(quán)利還是民法權(quán)利

個人享有信息自決權(quán)，即自己決定自己的個人信息及其存儲、轉(zhuǎn)讓和使用，〔52〕BGB § 823 Spindler/Schuster, Recht der elektronischen Medien，3. Auflage 2015.須追溯至1983 年德國聯(lián)邦憲法法院“人口普查案”。對信息自決的考慮允許自己決定什么時候、在什么限度內(nèi)公開自己的生活狀態(tài)?！?3〕參見楊芳：《個人信息自決權(quán)理論及其檢討》，載《比較法研究》2015 年第6 期，第31 頁。其目的是為了確?！皣覟閭€人保留內(nèi)在空間。在這個空間之內(nèi)，個人是自身的主宰。因此，個人可以完全排斥外在世界，獨自退回內(nèi)在主體，并享受在其中隱居的權(quán)利”?！?4〕參見趙宏：《從信息公開到信息保護(hù)——公法上信息權(quán)保護(hù)研究的風(fēng)向流轉(zhuǎn)與核心問題》，載《比較法研究》 2017年第2期。“人口普查案”的案件背景是聯(lián)邦政府制定人口普查法，試圖對全國進(jìn)行人口普查，引發(fā)擔(dān)憂和不滿。該案通過聯(lián)邦憲法法院進(jìn)行訴訟，法院基于德國《基本法》第1 條第1 款和第2 條第1 款的一般人格權(quán)出發(fā)，提出了個人信息自決權(quán)（informationelle Selbstbestimmung），〔55〕BVerfGE 65, 1, 43 （1984）.在判決中明確其為一項憲法權(quán)利，但是對該權(quán)利有具體的適用環(huán)境的限制：一方面，該案是針對國家強(qiáng)制的信息收集行為，并未說明對私法領(lǐng)域可以一般適用，任意的擴(kuò)張沒有合理的理論基礎(chǔ)，〔56〕值得注意的是，日本最初訂立的保護(hù)個人信息的規(guī)定是1988 年的《關(guān)于保護(hù)由行政機(jī)關(guān)保存的經(jīng)電子計算機(jī)處理的個人信息的法律規(guī)定》，該規(guī)定和德國人口普查案的適用范圍趨同，首先是針對行政機(jī)關(guān)，其次是電子計算機(jī)處理的情形下。直到2003年才通過了《個人信息保護(hù)法》。參見［日］五十嵐清：《人格權(quán)法》，［日］鈴木賢、葛敏譯，北京大學(xué)出版社2009 年版，第6 頁。因為憲法上的基本權(quán)利與民事權(quán)利在義務(wù)人、權(quán)利廣度、權(quán)利保護(hù)強(qiáng)度和對義務(wù)人的道德要求方面有本質(zhì)區(qū)別；〔57〕參見于飛：《基本權(quán)利與民事權(quán)利的區(qū)分及憲法對民法的影響》，載《法學(xué)研究》2008 年第5 期，第49 頁。另一方面，該案將個人信息自決權(quán)限制在信息處理關(guān)系中，“就此而言，在自動化信息處理技術(shù)面前，不再有‘不重要’的信息?！薄?8〕BVerfG 65, 1, 45; 轉(zhuǎn)引自楊芳：《個人信息自決權(quán)理論及其檢討》，載《比較法研究》2015 年第6 期，第28 頁。概言之，在“人口普查案”的背景下，信息自決權(quán)的確立主要是防范公權(quán)力機(jī)關(guān)利用信息技術(shù)無限度攫取個人信息，或利用獲取的個人信息監(jiān)控、畫像個人的可能?！?9〕參見趙宏：《從信息公開到信息保護(hù)——公法上信息權(quán)保護(hù)研究的風(fēng)向流轉(zhuǎn)與核心問題》，載謝立斌、仁愷主編：《權(quán)利救濟(jì)與人格權(quán)的憲法保障——中德比較》，中國政法大學(xué)出版社2018 年版，第227 頁。在“人口普查案”中，德國聯(lián)邦憲法法院強(qiáng)調(diào)，個人對數(shù)據(jù)沒有絕對不受限的支配權(quán)利。〔60〕BGB § 823 Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015.“個人對自己的信息所具有的權(quán)利不是絕對的、無限制的，他只是在社會中發(fā)展的獨立人格?！薄?1〕孔令杰：《個人資料隱私的法律保護(hù)》，武漢大學(xué)出版社2009 年版，第96 頁。

個人與國家的關(guān)系與個人相互間的關(guān)系有著本質(zhì)差別，一個受到保障的主觀公權(quán)力并不能必然推導(dǎo)出一個主觀的私權(quán)利，這是對憲法上的人格保護(hù)和私法上的人格保護(hù)混淆的結(jié)果。在個人信息保護(hù)領(lǐng)域亦是如此。憲法上的個人信息保護(hù)必須與民法上的個人信息保護(hù)相互區(qū)分，因為兩者的行為邊界很不相同，憲法上的個人信息保護(hù)直接對抗國家為方向與目標(biāo)，而民法上的個人信息保護(hù)則需要考慮其他義務(wù)人的基本權(quán)所保護(hù)的自由利益，必須通過構(gòu)造成套保護(hù)設(shè)備并結(jié)合比例原則確定合理的界線?！?2〕參見周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第134 頁；姚輝、周云濤：《關(guān)于民事權(quán)利的憲法學(xué)思維——以一般人格權(quán)為對象的觀察》，載《浙江社會科學(xué)》2007 年第1 期，第91 頁。因此，我們需要考慮的是，德國聯(lián)邦憲法法院從《基本法》第2 條第1 款結(jié)合第1 條第1 款推導(dǎo)出的信息自決權(quán)，在多大程度上可以存在于民法中？而該信息自決權(quán)對于民法上的“個人信息自決權(quán)”保護(hù)范圍的確定又有何種意義？為了揭示憲法中的個人信息自決權(quán)在民法中一直以來的錯誤表達(dá)，有必要就另一德國法上的典型案例進(jìn)行剖析。

德國學(xué)者引述德國聯(lián)邦法院2009 年作出判決的“評師案”，〔63〕“被告未經(jīng)原告同意，在一著名網(wǎng)站上公開原告（系被告老師）的姓名、任職學(xué)校、教授課程等個人信息?！眳⒁姉罘迹骸秱€人信息保護(hù)法保護(hù)客體之辨——兼論個人信息保護(hù)法和民法適用上之關(guān)系》，載《比較法研究》2017 年第5 期，第82 頁。認(rèn)為該案認(rèn)可了民法中的“個人信息自決權(quán)”，并同時主張，個案中的利益衡量對于判定是否構(gòu)成信息自決權(quán)侵害，依然必要。其中著名的論斷為：被告在公開的網(wǎng)站上評價被告并公開其個人信息的行為，侵犯了原告的個人信息自決（德國《聯(lián)邦數(shù)據(jù)保護(hù)法》的規(guī)定，同時也是人格利益），但是該利益并非不受限制，應(yīng)當(dāng)與被告的言論自由利益進(jìn)行平衡?！?4〕BGH NJW 2009, 2888; 轉(zhuǎn)引自楊芳：《個人信息保護(hù)法保護(hù)客體之辨——兼論個人信息保護(hù)法和民法適用上之關(guān)系》，載《比較法研究》2017 年第5 期，第82 頁。該案的判決結(jié)果沒有太大的問題，對于原告的權(quán)益是否應(yīng)受保護(hù)之論述也殊為合理，關(guān)鍵在于訴請中的個人信息自決權(quán)是否是該案的保護(hù)對象？筆者以為，該案中的原、被告雙方實際是普通個人信息使用關(guān)系，雙方都是自然人，不存在信息能力之不平等，被告也并未從事信息處理行為，因此該案與經(jīng)“人口普查案”確認(rèn)的信息自決權(quán)之間有巨大的背景鴻溝，德國學(xué)界錯誤地將憲法上的“人格權(quán)”和民法上的“一般人格權(quán)”混同，得出信息自決權(quán)亦是民事權(quán)利的一種，其論證并不嚴(yán)謹(jǐn)。私以為，民法中個人信息自決權(quán)的適用條件頗為嚴(yán)苛，對于信息能力相當(dāng)?shù)钠降戎黧w之間未利用信息技術(shù)進(jìn)行信息處理的侵權(quán)案件，信息自決權(quán)不應(yīng)當(dāng)適用，比如在“評師案”中，通過傳統(tǒng)民法中的名譽(yù)之訴或隱私之訴就可以解決糾紛。換言之，信息能力平等的主體之間，未從事信息處理行為，無涉信息自決權(quán)。

有學(xué)者指出，雖然憲法人格權(quán)上的人格利益對司法產(chǎn)生“預(yù)示”效力，但這并不意味著憲法人格權(quán)能直接傳遞至民法人格權(quán)中?！?5〕參見周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第140 頁。憲法規(guī)范是完全針對國家權(quán)力的濫用風(fēng)險而設(shè)計的特殊防御機(jī)制，這種機(jī)制并非基于對不存在權(quán)力差距和不可逃避性的私人關(guān)系的擔(dān)心而設(shè)計?！?6〕參見姜峰：《憲法私人效力中的事實與規(guī)范：一個分析框架》，載《法商研究》2020 年第1 期，第87 頁。有學(xué)者主張在私人領(lǐng)域只要雙方權(quán)利不平等，就有必要直接適用基本權(quán)保障（直接第三人效力說），〔67〕基本權(quán)利第三人直接效力說最初由德國學(xué)者尼佩代提出，持該學(xué)說的學(xué)者們認(rèn)為社會上的強(qiáng)者以國家權(quán)力同樣的方式侵害或無視個人權(quán)利，自由的行使必須考慮到周圍人位于基本權(quán)項下保護(hù)的利益，因此公民也直接受到基本權(quán)的約束。參見［德］齊佩利烏斯：《德國國家學(xué)》，趙宏譯，法律出版社2011 年版，第400 頁；王鍇：《論憲法上的一般人格權(quán)及其對民法的影響》，載《中國法學(xué)》2017 年第3 期；周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第78 頁；曹相見：《論民法與憲法關(guān)系的當(dāng)代使命》，載《南海法學(xué)》2019 年第2 期，第1 頁。然而，直接“第三人效力說”有破壞私法自治精神的嫌疑，正如謝鴻飛教授所言：在基本權(quán)利上，私主體之間的關(guān)系完全不同于私人和國家之間的關(guān)系，前者不可能在根本上侵害自由，而后者則可能?！?8〕參見謝鴻飛：《中國民法典的憲法功能——超越憲法施行法與民法帝國主義》，載《國家檢察官學(xué)院學(xué)報》2016 年第6 期，第45 頁。通過對“人口普查案”和“評師案”的檢視，對憲法上的信息自決是否可以不受限制的直接轉(zhuǎn)介成為民法的一項權(quán)利，應(yīng)當(dāng)有很清晰的結(jié)論：憲法無法成為民法的直接淵源，憲法上的信息自決針對的是公權(quán)力機(jī)關(guān)實施的信息處理行為，其中隱含了兩個重要的因素：一是公權(quán)力機(jī)關(guān)的強(qiáng)者地位；〔69〕憲法私人效力說的事實路徑認(rèn)為基于“社會強(qiáng)力”憲法應(yīng)具私人效力。該觀點認(rèn)為，某些私主體雖不屬于國家機(jī)關(guān)，但因其具有強(qiáng)大的資源優(yōu)勢和議價能力而能對個人產(chǎn)生巨大影響。參見姜峰：《憲法私人效力中的事實與規(guī)范：一個分析框架》，載《法商研究》2020 年第1 期，第87 頁。二是信息處理行為的高度危險性。因此，如果民法要“借用”憲法上的個人信息自決權(quán)（間接第三人效力說或客觀價值說），〔70〕參見王鍇：《論憲法上的一般人格權(quán)及其對民法的影響》，載《中國法學(xué)》2017 年第3 期，第102 頁；周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第80 頁。必須要經(jīng)過必要性和恰當(dāng)性的檢驗，需要論證侵權(quán)人是類似于公權(quán)力機(jī)關(guān)一樣的“強(qiáng)者”，〔71〕私主體作為“強(qiáng)者”需要有一定的限制，但是目前學(xué)界對強(qiáng)者的識別標(biāo)準(zhǔn)存在模糊甚至錯誤。參見姜峰：《憲法私人效力中的事實與規(guī)范：一個分析框架》，載《法商研究》2020 年第1 期，第87 頁。此外，還必須證明該“強(qiáng)者”從事信息處理行為。

換言之，“信息自決權(quán)”是否可以成為民法保護(hù)的民事利益，是有前提條件的，最重要的一點即是必須滿足對“強(qiáng)者”制約的要求，即對具有強(qiáng)大支配力的信息控制者/處理者的制約?！?2〕有學(xué)者認(rèn)為不同社會強(qiáng)力主體在權(quán)力差距和逃避可能性這兩個方面的程度不同，各自所應(yīng)受到的規(guī)范強(qiáng)度也應(yīng)與其個人造成的侵害風(fēng)險相稱。參見姜峰：《憲法私人效力中的事實與規(guī)范：一個分析框架》，載《法商研究》2020 年第1 期，第87 頁。對于私主體作為信息控制者/處理者是否是“強(qiáng)者”，相關(guān)法律文件比如OECD《隱私保護(hù)和個人數(shù)據(jù)跨境流通指南》認(rèn)為數(shù)據(jù)控制者是指“根據(jù)各國法律能夠決定個人數(shù)據(jù)內(nèi)容和使用的主體”；而GDPR 中對數(shù)據(jù)控制者的定義是“單獨或與他人共同確定個人數(shù)據(jù)處理的目的和方式的自然人、法人、公共權(quán)力機(jī)關(guān)、代理機(jī)構(gòu)或其他機(jī)構(gòu)”?？梢?，“決定”“確定”“支配”等是成為“強(qiáng)者”的必備要件。

而將私主體是否從事信息處理行為作為信息自決權(quán)的必要條件之一，學(xué)界論述不多。〔73〕經(jīng)檢索，楊芳副教授對此有系列闡述。參見楊芳：《個人信息自動化處理領(lǐng)域的個人信息保護(hù)規(guī)則》，載《重慶理工大學(xué)學(xué)報（社會科學(xué)版）》2016 年第9 期，第88 頁；楊芳：《我國個人信息保護(hù)法適用范圍之思考——隱私權(quán)救濟(jì)困境下的個人信息保護(hù)法》，載《社會科學(xué)家》2016 年第10 期，第112 頁。周漢華教授版的立法建議稿中有很清晰的表達(dá)，“處理是指政府機(jī)關(guān)或其他個人信息處理者根據(jù)一定的編排標(biāo)準(zhǔn)或檢索方式，以自動或非自動方法對個人信息的收集、存儲、使用、交換、公開、修改、刪除、銷毀等行為”。〔74〕周漢華主編：《個人信息保護(hù)法專家建議稿及立法研究報告》，法律出版社2006 年版，第3 頁?！霸u師案”中的評論者在網(wǎng)絡(luò)上評論原告的行為，并不構(gòu)成信息處理行為。個人信息自決權(quán)適用范圍的盲目擴(kuò)大，實際上反而有損于憲法所欲維護(hù)的保護(hù)弱者的價值?！?5〕參見周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第151 頁。判斷信息處理行為，應(yīng)當(dāng)有一套合理的判斷標(biāo)準(zhǔn)，而非樸素的法感或直覺。

（二）個人信息自決權(quán)在民法中的恰當(dāng)表達(dá)

通過對上述兩個案例的解析，筆者以為，信息自決權(quán)的本質(zhì)已經(jīng)昭然若揭。在憲法層面，國家（公權(quán)力機(jī)關(guān)）對個人信息上的基本權(quán)利侵害時，應(yīng)當(dāng)賦予個體信息自決權(quán)；而在民法層面，個人信息自決權(quán)的存在空間極其狹窄，僅存在于信息處理關(guān)系中。普通個人信息使用關(guān)系中不能適用信息自決權(quán)的主要原因有三。一是普通個人信息使用關(guān)系中，個人信息的獲取、交流和利用是信息交往的必要，強(qiáng)化信息自決會阻礙正常交流。換言之，在普通個人信息使用關(guān)系中，當(dāng)法律致力于保護(hù)個人的信息自決時，與該自決權(quán)相對立的不特定的義務(wù)人的自由將受到侵犯。立法者如果將所有各方當(dāng)事人的利益訴求均納入考慮范圍，則會意識到，普通個人信息使用關(guān)系中的信息自決必要性不大，因而在GDPR 中才會將“自然人實施的純粹個人或家庭活動”排除在其適用范圍之外。二是普通個人信息使用關(guān)系中對人格利益的保護(hù)，是為實現(xiàn)人格尊嚴(yán)、個人自由和獨立自主，均為人基于內(nèi)在規(guī)定性而在共同體中對自己人格利益所享有的不受非法侵害的利益，實質(zhì)上依然是一種防御性的權(quán)利?！?6〕參見朱曉峰：《作為一般人格權(quán)的人格尊嚴(yán)權(quán)》，載《清華法學(xué)》2014 年第1 期，第57 頁。普通個人信息使用關(guān)系中，造成人格利益受損，通過救濟(jì)隱私權(quán)、肖像權(quán)及其他人格利益已足以對侵害個人信息的行為予以保護(hù)。三是普通個人信息使用關(guān)系通常不具有高度風(fēng)險性，正常社交中涉及的個人信息侵權(quán)，雖然也可能對個人造成損害，比如通過貶損方式，造成名譽(yù)權(quán)受損，但是多數(shù)情況下傳播范圍窄、危害性低。而在信息處理關(guān)系中因互聯(lián)網(wǎng)傳播的特點，其傳播范圍廣、影響更壞。

在普通個人信息使用關(guān)系中確立個人信息自決權(quán)最大的惡果，是將憲法人格保護(hù)框架內(nèi)希冀實現(xiàn)對抗國家的措施，直接應(yīng)用于對抗不特定的私主體，也就是不特定的第三人必須為自己的每個涉及使用自然人個人信息的行為接受法院的合法化審查，顯然是不切實際且不合理的，這種對他人自由的干涉，遠(yuǎn)遠(yuǎn)超出了對個人信息保護(hù)的必要。德國教授Ehemann 也指出，若此，公民相互之間自然的交往遭到強(qiáng)烈的限制，對個體人格廣泛的法律保護(hù)會犧牲過多自由權(quán)?！?7〕參見周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第144 頁。憲法基本權(quán)的客觀價值輻射于私主體之間，但是，這并不意味著所有的價值都要以相同的范圍和相同的類型和方法來加以保護(hù)?！?8〕參見周云濤：《論憲法人格權(quán)與民法人格權(quán)——以德國法為中心的考察》，中國人民大學(xué)出版社2010 年版，第151 頁。亦即，對個人信息自決權(quán)這項基本權(quán)利在民法中的規(guī)范構(gòu)造，應(yīng)考慮到私法交往的獨特屬性。對于憲法上的個人信息應(yīng)受保護(hù)的價值在私法領(lǐng)域的作用，并不能一般化作用于所有的私主體，而是應(yīng)當(dāng)區(qū)分普通個人信息使用關(guān)系與信息處理關(guān)系。

在信息處理關(guān)系中，出于對“弱者”的信息主體的保護(hù)，筆者以為應(yīng)有自決利益存在。為平衡信息主體和信息控制者的信息能力，應(yīng)當(dāng)給予信息主體額外的自主利益，這種利益是信息處理關(guān)系中獨有的，不是隱私利益，而是一種為了保護(hù)其他利益而單獨賦予信息主體的特殊利益，筆者稱為“信息處理中的自主利益”。該利益具有獨立性，單獨侵害該利益并不必然侵犯其他人格利益，其存在的目的是為了讓信息主體有能力干預(yù)信息處理過程，以防范信息主體的其他利益受侵害的風(fēng)險?！?9〕Regina Aebi-Müller，PersonenbezogeneInformationenim System des zivilrechtlichenPersnlichkeitsschutzes，unterbesondererBerücksichtigung der Rechtslage in der Schweiz und in Deutschland, 2005, S. 295; 轉(zhuǎn)引自楊芳：《個人信息自決權(quán)理論及其檢討》，載《比較法研究》2015 年第6 期，第32 頁。

信息處理關(guān)系中的自主利益，并非與隱私利益平行并列的利益，而是隱私利益和其他人格利益的前置利益（前置保護(hù)規(guī)范）。討論信息處理關(guān)系中的自主利益的前提是，必須將該利益從其所保護(hù)的隱私利益與其他人格利益中剝離出來，否則就會導(dǎo)致利益保護(hù)的混淆。為實現(xiàn)“信息處理關(guān)系中的自主利益”，個人信息保護(hù)法通常也賦予信息主體干涉?zhèn)€人信息處理過程的機(jī)會，這些機(jī)會表現(xiàn)為針對信息控制者和處理者的一系列積極請求權(quán)。〔80〕參見楊芳：《個人信息保護(hù)法保護(hù)客體之辨——兼論個人信息保護(hù)法和民法適用上之關(guān)系》，載《比較法研究》2017 年第5期，第74 頁。申言之，該利益是個人信息保護(hù)法中信息主體利益上的抽象，也只有在個人信息保護(hù)法、《網(wǎng)絡(luò)安全法》等法律法規(guī)涉及的信息處理行為中才存在該利益。該利益在民法中的表達(dá)，可作為一般人格權(quán)中的一類人格利益予以保護(hù)，但該利益的存在應(yīng)當(dāng)符合上文所說的“強(qiáng)者”及“信息處理行為”兩個限定條件。

四、民法與個人信息保護(hù)法的適用關(guān)系

《民法典》人格權(quán)編第六章“隱私權(quán)和個人信息保護(hù)”中第1034 條至第1039 條是對《民法總則》第111 條的具體規(guī)定，建立在私法上的“信息處理關(guān)系中的自主利益”之上而構(gòu)建。其中第1034 條對個人信息的概念進(jìn)行了定義及一般列舉，明確了個人信息“識別性”的核心特征，并規(guī)定了和隱私權(quán)的適用關(guān)系；第1035 條是處理個人信息的原則性條款，另外該條還對處理的條件做出了規(guī)定，包括了“知情同意”“透明公開”“目的限定”及合法性等。第1036 條為行為人（信息處理者）的抗辯事由，列舉了多種不承擔(dān)民事責(zé)任的情形。第1037 條明確了自然人（信息主體）的權(quán)利，包括“查閱、復(fù)制、異議更正、刪除”等。第1038 條從信息處理者的義務(wù)角度明確了信息處理的規(guī)則，包括不得泄露、篡改，未經(jīng)同意不得非法提供、安全保障義務(wù)和報告義務(wù)等。第1039 條是國家機(jī)關(guān)及其工作人員（公職人員）收集處理個人信息的特殊規(guī)定。從《民法典》關(guān)于個人信息的條款可以看出，立法者已經(jīng)對個人信息的內(nèi)涵、個人信息的解釋、個人信息的收集使用邊界等問題形成了相對完善的規(guī)范?！?1〕參見張紅：《民法典之隱私權(quán)立法論》，載《社會科學(xué)家》2019 年第1 期，第15 頁。

問題在于，《民法典》中的個人信息保護(hù)條款與即將出臺的《個人信息保護(hù)法》中的相應(yīng)條款是何關(guān)系？人格權(quán)編對于建構(gòu)個人信息保護(hù)規(guī)范體系的意義何在，民法是否可以作為個人信息保護(hù)法的立法依據(jù)或者上位法？正在制定的《個人信息保護(hù)法》是否要與《民法典》保持高度一致呢？如果不一致，應(yīng)當(dāng)優(yōu)先適用哪部法律？《個人信息保護(hù)法》出臺在即，這些問題的解決迫在眉睫。

有學(xué)者認(rèn)為，《個人信息保護(hù)法》并非《民法典》之特別法，而是一部對個人信息保護(hù)進(jìn)行全面規(guī)范的兼具公法與私法屬性的綜合性法律。〔82〕參見程嘯：《個人信息保護(hù)中的敏感信息與私密信息》，載《人民法院報》2020 年11 月19 日，第5 版。也有學(xué)者則認(rèn)為，因為個人信息保護(hù)具有民事權(quán)利屬性，個人信息保護(hù)法屬于民法特別法。〔83〕參見石佳友：《個人信息保護(hù)法與民法典如何銜接協(xié)調(diào)》，載《人民論壇》2021 年第2 期，第92 頁。筆者以為，個人信息主體利益應(yīng)當(dāng)視作基本權(quán)利來對待，而民法僅作為保護(hù)民事權(quán)利的法律，恐怕難當(dāng)保護(hù)基本權(quán)利之重任。不可忽略的是，民法作為一種組織社會的工具，是通過對沖突的利益關(guān)系設(shè)置相應(yīng)的協(xié)調(diào)規(guī)則來實現(xiàn)自身調(diào)控社會關(guān)系的功能?！?4〕參見王軼：《民法價值判斷問題的實體性論證規(guī)則——以中國民法學(xué)的學(xué)術(shù)實踐為背景》，載《中國社會科學(xué)》2004 年第6期，第104 頁。王軼教授將現(xiàn)代意義上的民法分為強(qiáng)式意義上的平等對待及在特定領(lǐng)域中的弱式意義上的平等對待，〔85〕強(qiáng)式意義上的平等對待和弱式意義上的平等對待的差別在于，前者注重每個人都是“同樣的人”，應(yīng)避免對人群分類；而后者則認(rèn)為應(yīng)按照一定的標(biāo)準(zhǔn)對人群進(jìn)行分類，既意味著平等對待，也意味著差別對待。參見王軼：《民法價值判斷問題的實體性論證規(guī)則——以中國民法學(xué)的學(xué)術(shù)實踐為背景》，載《中國社會科學(xué)》2004 年第6 期，第104 頁。后者比如《消費(fèi)者權(quán)益保護(hù)法》（以下簡稱《消保法》和《勞動法》）。筆者以為，在個人信息保護(hù)和利用領(lǐng)域理由亦同，實際上信息能力不平等的主體之間的利益關(guān)系——信息處理關(guān)系也屬于弱式意義上的平等對待，從目的論，個人信息保護(hù)法是為了平衡主體之間的強(qiáng)弱地位（這里的強(qiáng)弱不僅僅是經(jīng)濟(jì)上的，主要是信息不對稱），是類似于《消保法》和《勞動法》的政策型特別民法，追求“作為公平的平等”，法律賦予弱勢的信息主體以特權(quán)，實質(zhì)是為了保護(hù)理想的自由狀態(tài)?！?6〕參見謝鴻飛：《民法典與特別民法關(guān)系的建構(gòu)》，載《中國社會科學(xué)》2013 年第 2 期，第106 頁。

民法的現(xiàn)代轉(zhuǎn)向，是近代民法的意思自治原則被意思自治與國家的保護(hù)性干預(yù)相結(jié)合原則所取代?！?7〕參見徐國棟：《民法的人文精神》，法律出版社2009 年版，第179 頁?！秱€人信息保護(hù)法》是現(xiàn)代民法除《消保法》和《勞動法》之外的新的典范：具有平等地位的群體之間，為了協(xié)調(diào)不同的利益團(tuán)體、平衡不同的社會力量，立法者代替當(dāng)事人決策做出一定的制度安排，〔88〕參見徐國棟：《民法私法說還能維持多久——行為經(jīng)濟(jì)學(xué)對時下民法學(xué)的潛在影響》，載《法學(xué)》2006 年第5 期，第3 頁。作為一部管制色彩與自治色彩交相輝映的法律，《個人信息保護(hù)法》的立法應(yīng)當(dāng)兼顧自治和管制的平衡，既不給予個人絕對的私人自治權(quán)（個人信息自決權(quán)），也并非完全采取行政法的路徑成為一部行政管理法。于此，《個人信息保護(hù)法》中的民事規(guī)范應(yīng)當(dāng)作為民法的特別法來看待。但是，需要注意的是，《個人信息保護(hù)法（草案）》并未區(qū)分公、私主體的信息處理者，公權(quán)力機(jī)關(guān)處理個人信息的規(guī)范，明顯不屬于平等主體之間的規(guī)范?！秱€人信息保護(hù)法》是一部綜合性的法律，信息處理關(guān)系包含了公法調(diào)整和私法調(diào)整兩個部分，但毫無疑問信息主體與私主體的信息處理者在法律地位上依然是平等的，信息處理者在收集處理使用個人信息的過程中必須尊重信息主體的人格完整。

在二法的適用上，與其徒增法律適用的煩惱，不如在《民法典》人格權(quán)編只對個人信息保護(hù)作出原則性和轉(zhuǎn)介性規(guī)定，將具體的保護(hù)規(guī)范交給個人信息保護(hù)法。這才是理想的路徑。申言之，就信息處理關(guān)系中自主利益受損害的認(rèn)定，通過引介至侵權(quán)編援用保護(hù)性法律的規(guī)則，行為不法性則根據(jù)是否違反《個人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等規(guī)定來判斷。該路徑理論上有兩點優(yōu)勢。首先，可以保持民法典的穩(wěn)定性和純粹性，信息主體權(quán)利和處理者義務(wù)必然隨著技術(shù)的發(fā)展經(jīng)歷快速的變革，例如，因自動化決策技術(shù)的發(fā)展，歐盟立法中新增了信息主體反對自動化決策的權(quán)利；因搜索引擎可以搜索過時、無關(guān)且不必要的信息，增加了對“被遺忘權(quán)”的規(guī)定。而民法典不宜頻繁修改，很可能對信息時代技術(shù)和人格保護(hù)之間的張力和沖突無計可施，反而削弱了法典的權(quán)威性。其次，《民法典》對個人信息保護(hù)條款規(guī)定得過細(xì)，徒增與即將出臺的個人信息保護(hù)法之間適用上的困難，比如個人信息的范圍規(guī)定得不一致、私密信息和敏感信息的關(guān)系難以厘清等問題，反而不利于主體權(quán)益的保護(hù)。當(dāng)然，目前《民法典》作為一部根本大法已經(jīng)生效，動輒大動干戈進(jìn)行修法顯然不符合實際，因此雖然筆者更傾向于該條路徑，但僅從學(xué)理層面進(jìn)行探討。

第二條路徑是既有規(guī)范體系下的權(quán)宜之計，需要更全面和更精細(xì)的設(shè)計。首先，《民法典》中區(qū)分不同的法律關(guān)系保護(hù)個人信息。普通個人信息使用關(guān)系中，受到侵害的利益僅限于隱私利益、肖像利益、姓名利益或其他的一般人格利益，并不存在信息處理中的自主利益。而在信息處理關(guān)系中，信息處理中的自主利益應(yīng)當(dāng)受到保護(hù)，也即信息主體應(yīng)可施加積極的干預(yù)或控制，來及時參與、反對、修正信息處理行為可能對人格形塑的負(fù)面影響。因此，普通個人信息使用行為侵犯權(quán)益，應(yīng)當(dāng)尋求具體人格權(quán)或一般人格權(quán)作為請求權(quán)基礎(chǔ)；信息處理行為侵犯權(quán)益，應(yīng)適用個人信息條款，對信息主體的權(quán)利之被侵犯和信息處理者的義務(wù)之不履行進(jìn)行判斷，同時侵犯如隱私權(quán)、肖像權(quán)、姓名權(quán)、名譽(yù)權(quán)等其他權(quán)益的，共同適用（私密信息則優(yōu)先適用隱私權(quán)規(guī)定）。其次，個人信息保護(hù)是規(guī)范的體系建構(gòu)，僅僅通過《民法典》的6 個條文規(guī)定是不充分、不完全的，因此需要通過《個人信息保護(hù)法》對《民法典》中的缺漏進(jìn)行補(bǔ)足，例如，對于主體權(quán)利，《民法典》目前僅規(guī)定了信息主體有“查閱、復(fù)制、異議更正、刪除”的權(quán)利，但是否有被遺忘權(quán)、是否有拒絕自動化決策的權(quán)利，留待個人信息保護(hù)法進(jìn)行論證補(bǔ)充；此外，《民法典》對于信息處理應(yīng)遵循“合法、正當(dāng)、必要”原則，對原則的解釋在《個人信息保護(hù)法》中可以有所具體化等。最后，當(dāng)《個人信息保護(hù)法》中的民事行為規(guī)范與《民法典》的行為規(guī)范發(fā)生沖突的時候，《個人信息保護(hù)法》的民事行為規(guī)范應(yīng)被視為《民法典》的特別條款，根據(jù)特別法優(yōu)于一般法的原則，應(yīng)當(dāng)根據(jù)《個人信息保護(hù)法》來判斷行為不法性，只有在《個人信息保護(hù)法》中沒有明文規(guī)定時，才適用民法一般條款。

因此，普通個人信息使用行為對個人權(quán)利相對風(fēng)險較低，比如個人生活中的信息交往等，非為信息處理關(guān)系的調(diào)整目標(biāo)，僅民法調(diào)整，《個人信息保護(hù)法》完全不適用；但是對信息處理關(guān)系中的信息處理行為的規(guī)制，《個人信息保護(hù)法》適用優(yōu)先，此外適用《民法典》一般規(guī)則調(diào)整。